03/03/23
Криптовалютные организации стали новой мишенью для атаки в рамках вредоносной кампании по распространению трояна удаленного доступа Parallax RAT. Вредоносное ПО «использует методы внедрения, чтобы скрыться в законных процессах, что затрудняет его обнаружение», — говорится в новом отчёте Uptycs. «После того, как троян был успешно внедрен, злоумышленники могут взаимодействовать со своей жертвой через блокнот Windows, который, вероятно, служит каналом связи».
Parallax RAT предоставляет хакерам удаленный доступ к скомпрометированным компьютерам. Он поставляется с функциями для загрузки и скачивания файлов, а также записи нажатий клавиш и снимков экрана.
Parallax используется с начала 2020 года и ранее доставлялся с помощью приманок на тему COVID-19, согласно Securitylab. В феврале 2022 года компания Proofpoint подробно описала группировку под кодовым названием TA2541, нацеленную на авиацию, аэрокосмическую, транспортную, производственную и оборонную отрасли, использующую различные варианты RAT, включая Parallax.
Полезная нагрузка Parallax — это вредоносное ПО Visual C++, использующее метод «Process Hollowing» для внедрения Parallax в законный компонент Windows под названием pipanel.exe. Помимо сбора системных метаданных, вредонос также может получать доступ к информации, хранящейся в буфере обмена, и даже удаленно перезагружать или выключать скомпрометированную машину.
Метод работы киберпреступников включает в себя использование общедоступных инструментов, таких как DNSdumpster, для идентификации почтовых серверов, принадлежащих целевым компаниям. Идентификация происходит с помощью записей почтового обменника компаний. А затем злоумышленники направляют туда фишинговые электронные письма, содержащие вредоносное ПО Parallax RAT.
Одним из примечательных аспектов атак является использование стандартной утилиты «блокнот» для инициирования разговоров с жертвами и перенаправлением их в Telegram-канал преступников. Анализ данного Telegram-канала специалистами Uptycs показал, что хакеры проявляют интерес к криптовалютным компаниям, таким как инвестиционные фирмы, биржи и поставщики услуг кошельков.
«Одной из причин привлекательности Telegram для киберпреступников является предполагаемое встроенное шифрование и возможность создавать каналы и большие частные группы. Эти функции мешают правоохранительным органам и исследователям в области безопасности отслеживать и отслеживать преступную деятельность на платформе. Кроме того, киберпреступники часто используют закодированный язык и альтернативные варианты написания для общения в Telegram, что еще больше затрудняет расшифровку их разговоров», — говорится в исчерпывающем анализе KELA , опубликованном в прошлом месяце.
